Azure Dedicated HSM-bewaking
De Toegewezen HSM-service van Azure biedt een fysiek apparaat voor gebruik door de enige klant met volledige beheer- en beheerverantwoordelijkheid. Het apparaat dat beschikbaar wordt gesteld, is een Thales Luna 7 HSM-model A790. Microsoft heeft geen beheerderstoegang zodra deze is ingericht door een klant, behalve fysieke seriële poortbijlage als bewakingsrol. Als gevolg hiervan zijn klanten verantwoordelijk voor typische operationele activiteiten, waaronder uitgebreide bewaking en logboekanalyse.
Klanten zijn volledig verantwoordelijk voor toepassingen die gebruikmaken van de HSM's en moeten samenwerken met Thales voor ondersteuning of advies. Vanwege het feit dat de klant eigenaar is van operationele hygiëne, is het niet mogelijk dat Microsoft een soort garantie voor hoge beschikbaarheid biedt voor deze service. Het is de verantwoordelijkheid van de klant om ervoor te zorgen dat hun toepassingen correct zijn geconfigureerd om hoge beschikbaarheid te bereiken. Microsoft bewaakt en onderhoudt de apparaatstatus en netwerkconnectiviteit.
Microsoft-bewaking
Het Thales Luna 7 HSM-apparaat in gebruik heeft standaard SNMP- en seriële poort als opties voor het bewaken van het apparaat. Microsoft heeft de seriële poortverbinding gebruikt als fysieke middelen om verbinding te maken met het apparaat om basistelemetrie op te halen over de apparaatstatus, inclusief temperatuur- en onderdeelstatus (zoals voedingen en ventilatoren).
Hiervoor gebruikt Microsoft een niet-beheerdersrol 'monitor' die is ingesteld op het Thales-apparaat. Deze rol biedt de mogelijkheid om de telemetrie op te halen, maar geeft geen toegang tot het apparaat op het gebied van beheertaken of op enige manier cryptografische informatie weer te geven. Onze klanten kunnen er zeker van zijn dat hun apparaat echt hun eigen apparaat is voor het beheren, beheren en gebruiken van gevoelige cryptografische sleutelopslag. Als een klant niet tevreden is met deze minimale toegang voor basisstatusbewaking, hebben ze de mogelijkheid om het bewakingsaccount uit te schakelen. Het voor de hand liggende gevolg hiervan is dat Microsoft geen informatie heeft en daarom geen proactieve melding kan geven van problemen met de status van apparaten. In deze situatie is de klant verantwoordelijk voor de status van het apparaat.
De monitorfunctie zelf is ingesteld om het apparaat elke 10 minuten te peilen om statusgegevens op te halen. Vanwege de foutgevoelige aard van seriële communicatie, wordt er pas na meerdere negatieve statusindicatoren gedurende een periode van één uur een waarschuwing gegenereerd. Deze waarschuwing zou uiteindelijk leiden tot een proactieve klantcommunicatie die het probleem informeert.
Afhankelijk van de aard van het probleem, zou de juiste actie worden ondernomen om de impact te verminderen en een laag risicoherstel te garanderen. Een stroomstoring is bijvoorbeeld een hot-swapprocedure zonder resulterende manipulatiegebeurtenis, zodat deze kan worden uitgevoerd met een lage impact en een minimaal risico voor de werking. Voor andere procedures kan het nodig zijn om een apparaat te nulen en de inrichting ongedaan te maken om elk beveiligingsrisico voor de klant te minimaliseren. In dit geval richt een klant een alternatief apparaat in, waarbij een koppeling met hoge beschikbaarheid opnieuw wordt gekoppeld, waardoor apparaatsynchronisatie wordt geactiveerd. De normale bewerking wordt in minimale tijd hervat, met minimale onderbreking en laagste beveiligingsrisico.
Klantbewaking
Een waardepropositie van de Dedicated HSM-service is het beheer dat de klant van het apparaat krijgt, met name gezien het een apparaat dat in de cloud wordt geleverd. Een gevolg van deze controle is de verantwoordelijkheid voor het bewaken en beheren van de status van het apparaat. Het Thales Luna 7 HSM-apparaat wordt geleverd met richtlijnen voor de implementatie van SNMP en Syslog. Klanten van de Toegewezen HSM-service worden aangeraden dit te gebruiken, zelfs wanneer het Microsoft Monitor-account actief blijft en deze verplicht moeten worden acht als ze het Microsoft Monitor-account uitschakelen. Met beide beschikbare technieken kan een klant problemen identificeren en Microsoft-ondersteuning bellen om passende herstelwerkzaamheden te initiëren.
Volgende stappen
Het wordt aanbevolen dat alle belangrijke concepten van de service, zoals hoge beschikbaarheid en beveiliging, goed worden begrepen voordat apparaten worden ingericht en toepassingsontwerp of -implementatie. Meer onderwerpen op conceptniveau: